Trí thông minh dữ liệu tạo

An ninh mạng

SolarWinds 2024: Việc tiết lộ thông tin trên mạng sẽ đi đến đâu từ đây?

Tái bản bởi Plato
Tái bản bởi Plato

Ngày:

Lượt xem: 0

COMMENTARY

Trong một trước bài viết, Tôi đã trình bày ý nghĩa của các cáo trạng và quy tắc bốn ngày của Ủy ban Chứng khoán và Giao dịch (SEC) SolarWinds đối với DevSecOps. Hôm nay, chúng ta hãy đặt một câu hỏi khác: Việc tiết lộ thông tin trên mạng sẽ đi đến đâu từ đây?

Trước khi gia nhập ngành an ninh mạng, tôi là luật sư chứng khoán. Tôi đã dành rất nhiều thời gian để tìm hiểu các quy định của SEC và thường xuyên làm việc với SEC. Bài viết này không phải là tư vấn pháp lý. Đó là lời khuyên thiết thực từ một người thực sự quen thuộc với SEC.

Tóm tắt bản cáo trạng của SEC

Vào ngày 30 tháng 2023 năm XNUMX, SEC nộp đơn khiếu nại chống lại SolarWinds và giám đốc an ninh thông tin của nó, cáo buộc “các lỗi gian lận và kiểm soát nội bộ” cũng như “các sai sót, thiếu sót và âm mưu che giấu cả các hoạt động an ninh mạng kém của Công ty cũng như các rủi ro an ninh mạng ngày càng tăng – và ngày càng tăng”, bao gồm cả tác động của một sự cố an ninh mạng thực tế. tấn công vào hệ thống và khách hàng của mình. 

Đặt câu hỏi “Nên” sang một bên 

Tôi muốn đặt việc liệu SEC có nên hành động sang một bên hay không. Đã có rất nhiều tiếng nói về chủ đề này rồi. Một số người cho rằng các tuyên bố về an ninh mạng công cộng của SolarWinds là mang tính tham vọng chứ không thực tế. Những người khác cho rằng không nên nhắm mục tiêu vào CISO vì bộ phận của anh ta không thể cung cấp các biện pháp phòng vệ cần thiết. Anh ấy dựa vào người khác để làm điều đó. Cuối cùng, bản tóm tắt của amicus được đệ trình để ủng hộ SolarWinds và CISO của nó lập luận rằng vụ việc sẽ có một hiệu ứng lạnh giá trong việc tuyển dụng và duy trì vai trò CISO, liên lạc nội bộ, nỗ lực cải thiện an ninh mạng, v.v. 

Vấn đề tiết lộ mạng 

SEC bắt đầu khiếu nại bằng cách chỉ ra rằng công ty đã nộp tuyên bố đăng ký IPO vào tháng 2018 năm XNUMX. Tài liệu đó có bản tóm tắt và tiết lộ hệ số rủi ro an ninh mạng giả định. Cùng tháng đó, đơn khiếu nại của SEC có nội dung: “Brown đã viết trong một bài thuyết trình nội bộ rằng SolarWinds' 'tình trạng an ninh hiện tại khiến chúng ta rơi vào tình trạng rất dễ bị tổn thương đối với các tài sản quan trọng của mình. '”

Sự khác biệt này là một vấn đề lớn và SEC cho biết nó chỉ trở nên tồi tệ hơn. Mặc dù các nhân viên và giám đốc điều hành của SolarWinds biết về những rủi ro, lỗ hổng và các cuộc tấn công ngày càng tăng đối với các sản phẩm của SolarWinds, nhưng “các tiết lộ về rủi ro an ninh mạng của SolarWinds không tiết lộ chúng theo bất kỳ cách nào”. Để minh họa quan điểm của mình, SEC đã liệt kê tất cả các hồ sơ công khai của SEC sau đợt IPO bao gồm các tiết lộ rủi ro an ninh mạng giống nhau, không thay đổi, giả định, theo nguyên mẫu. 

Để diễn giải khiếu nại của SEC: “Ngay cả khi một số rủi ro và sự cố riêng lẻ được thảo luận trong Khiếu nại này không tăng đến mức yêu cầu tiết lộ riêng… chúng đã tạo ra rủi ro gia tăng như vậy…” rằng các tiết lộ của SolarWinds đã trở thành “sai lầm nghiêm trọng .” Tệ hơn nữa, theo SEC, SolarWinds đã lặp lại những tiết lộ chung chung ngay cả khi số lượng cờ đỏ chồng chất lên nhau. 

Một trong những điều đầu tiên bạn học được với tư cách là luật sư chứng khoán là việc tiết lộ thông tin, các yếu tố rủi ro và những thay đổi đối với các yếu tố rủi ro trong hồ sơ SEC của công ty là vô cùng quan trọng. Chúng được các nhà đầu tư và nhà phân tích chứng khoán sử dụng trong việc đánh giá và khuyến nghị việc mua và bán cổ phiếu. Tôi rất ngạc nhiên khi đọc trong một trong những bản tóm tắt của amicus rằng “CISO thường không chịu trách nhiệm soạn thảo hoặc phê duyệt” các tiết lộ công khai. Có lẽ họ nên như vậy. 

Đề xuất một bến cảng an toàn khắc phục 

Tôi muốn đề xuất một điều gì đó khác biệt: một nơi trú ẩn an toàn để khắc phục các rủi ro và sự cố an ninh mạng. SEC không mù quáng trước câu hỏi về cách khắc phục. Về vấn đề này, nó nói:

“SolarWinds cũng đã không khắc phục được các vấn đề được mô tả ở trên trước đợt IPO vào tháng 2018 năm 2019 và đối với nhiều vấn đề trong số đó, trong nhiều tháng hoặc nhiều năm sau đó. Do đó, các tác nhân đe dọa sau đó có thể khai thác lỗ hổng VPN vẫn chưa được khắc phục để truy cập vào hệ thống nội bộ của SolarWinds vào tháng XNUMX năm XNUMX, tránh bị phát hiện trong gần hai năm và cuối cùng chèn mã độc dẫn đến cuộc tấn công mạng SUNBURST.”

Theo đề xuất của tôi, nếu bất kỳ công ty nào khắc phục những thiếu sót hoặc tấn công trong khung thời gian 10 ngày, thì công ty đó sẽ có thể (a) tránh được khiếu nại gian lận (tức là không có gì để nói) hoặc (b) sử dụng tiêu chuẩn 10Q và 8K quy trình, bao gồm phần Thảo luận và Phân tích của Ban quản lý, để tiết lộ sự việc. Điều này có thể không giúp được gì cho SolarWinds. Khi tiết lộ tình hình, 8K cho biết phần mềm của công ty “chứa mã độc hại được các tác nhân đe dọa chèn vào” mà không đề cập đến biện pháp khắc phục. Tuy nhiên, đối với vô số công ty đại chúng khác đang phải đối mặt với cuộc chiến không hồi kết giữa kẻ tấn công và người phòng thủ, một bến đỗ an toàn để khắc phục sẽ cho phép họ có đủ khung thời gian bốn ngày để đánh giá và ứng phó với vụ việc. Sau đó, nếu được khắc phục, hãy dành thời gian để tiết lộ sự việc một cách đúng đắn. Lợi ích khác của phương pháp “khắc phục trước tiên” này là sẽ tập trung hơn vào phản ứng trên mạng và ít tác động hơn đến cổ phiếu đại chúng của công ty. XNUMXK vẫn có thể được sử dụng cho các sự cố an ninh mạng chưa được giải quyết. 

Kết luận

Bất kể bạn đặt câu hỏi liệu SEC có nên hành động hay không, câu hỏi về cách thức, thời gian và địa điểm chúng tôi tiết lộ các sự cố an ninh mạng sẽ là một vấn đề lớn đối với tất cả các chuyên gia mạng. Về phần mình, tôi nghĩ CISO nên kiểm soát hoặc ít nhất là phê duyệt các tiết lộ của công ty khi xảy ra sự cố an ninh mạng. Hơn thế nữa, CISO nên tìm kiếm các nền tảng cung cấp một khung kính duy nhất để “nhìn thấy và giải quyết” nhanh chóng, với ít sự phụ thuộc nhất có thể. Nếu chúng ta có thể khuyến khích SEC áp dụng tư duy khắc phục trước tiên, chúng ta có thể mở ra cơ hội tiết lộ thông tin an ninh mạng tốt hơn cho mọi người. 

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.

Trò chuyện trực tiếp với chúng tôi (chat)

Chào bạn! Làm thế nào để tôi giúp bạn?